КиберБезОскара
КиберБезОскара
Читать в Telegram

Ресурсные ограничения при планировании бюджета ИБ

КиберБезОскара

Я - Оскар, эксперт в ИБ. Пишу о рынке кибербезопасности с техническими деталями, средствах защиты и управлении командой в ИБ. Более 15 лет опыта, MBA CSO. Канал отражает личное мнение. Для связи @goscars

Открыть в TelegramДругие публикации
кибербезопасностьбюджетресурсное планирование

При обсуждении планирования и защиты бюджетов на информационную безопасность чаще всего делают фокус на том как обосновать деньги перед руководством через выполнение требований регуляторов, уязвимости, недопустимые события, инциденты у компаний в той же отрасли, ориентацию на цели бизнеса и так далее. Сравниваются процент ИБ от ИТ, у кого из #CISO размер бюджета больше. Но тут важно ставить реалистичные планы, ведь за выполнение этих задач придётся нести ответственность.

На размышления меня натолкнул кейс проектного офиса в банке по планированию бюджета на следующий год из канала об управлении проектами:

Во время формирования портфеля на следующий год мы опирались в первую очередь на то, достаточно ли у компании денег, чтобы реализовать эти проекты. То есть у нас был лимит по бюджету, мы оценивали эффекты от проектов, их значимость, приоритизировали их и пытались уместить в бюджет.

‼️Однако спустя год стало понятно, что такого плана явно недостаточно – те деньги, что были у нас запланированы, оказались недоиспользованными на 30-40%.

Потому что главным ограничением для реализации проектов был не бюджет, а ресурсы, которые мы не считали и не моделировали.

В области информационной безопасности мы также руководствуемся бюджетными ограничениями, но зачастую главным сдерживающим фактором становятся другие ресурсы:

  • *️⃣ Люди почти всегда присутствуют в обоснованиях проектов лишь как показатель численности персонала или процент укомплектования штата. В условиях дефицита кадров (ремарка - считаю, что проблема качественная, а не количественная), важно набрать не количество специалистов, а подобрать человека с навыками под конкретный проект и задачу, а на это уходит намного больше времени. Даже при привлечении подрядчиков, сначала его нужно выбрать, провести конкурсные процедуры, а после того как контракт заключен, интеграторы сталкиваются с проблемой: у сотрудников заказчика не хватает времени для выполнения проекта.
  • *️⃣ Кроме человеческих ресурсов, в условиях импортозамещения важно учитывать технологические ограничения. Есть ли на рынке продукт, закрывающий потребность? Успеет ли производитель выполнить роадмап за время проекта? Например, в бюджетах прошлого года была предусмотрена закупка отечественных NGFW, что обосновывалось выполнением требований регуляторов, но по факту эту статью бюджета полноценно не удалось освоить.

❗️Поэтому полезно изучать подходы управления проектами, учитывать ограничения и заниматься ресурсным планированием при формировании бюджета и выборе тем на следующий год.

#менеджмент@oscar_cybersec